Ausschluss aus dem Betriebsrat wegen einer weitergeleiteten E-Mail
Das Hessische Landesarbeitsgericht hat kürzlich entschieden, dass es einen groben Verstoß gegen die datenschutzrechtlichen Verpflichtungen darstellt, wenn ein Betriebsratsmitglied berufliche Inhalte an seinen privaten E-Mail-Account weiterleitet. Ein solcher Verstoß rechtfertige den außerordentlichen Ausschluss aus dem Betriebsrat (vgl. LAG Hessen, Urt. v. 10. März 2025 – Az. 16 TaBV 109/24).
Sachverhalt und Entscheidung
Der Fall betraf einen Klinikbetreiber mit knapp 400 Beschäftigten und einem neunköpfigen Betriebsrat.
Der Arbeitgeber musste feststellen, dass im dienstlichen E-Mail-Postfach des Betriebsratsvorsitzenden eine automatische Weiterleitung an dessen privaten E-Mail-Account eingerichtet war. Trotz einer Abmahnung durch den Arbeitgeber behielt der Betriebsratsvorsitzende diese Weiterleitung bei. Unter den weitergeleiteten E-Mails befand sich unter anderem eine vollständige Personalliste mit sensiblen Informationen wie die Namen sämtlicher Mitarbeiter, deren Stellung im Betrieb, die Tarifgruppe, das Grundentgelt, der Tarifeintritt, die Eingruppierung etc. Der Betriebsratsvorsitzende hatte sich diese Excel-Datei zunächst selbst an seine private E-Mail-Adresse geschickt, sie zu Hause bearbeitet und anschließend wieder an den Betriebsrat weitergeleitet.
Der Arbeitgeber beantragte daraufhin gemäß § 23 Abs. 1 BetrVG den Ausschluss des Betriebsratsvorsitzenden aus dem Gremium, da dieser durch sein Verhalten massiv gegen datenschutzrechtliche Pflichten verstoßen habe. Nach § 23 Abs. 1 BetrVG kann der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen; zu diesen Pflichten gehört auch die Einhaltung der datenschutzrechtlichen Vorschriften. Je nach Schwere des Verstoßes kann dies einen Ausschluss aus dem Betriebsrat begründen.
Das LAG Hessen bestätigte den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat wegen eines groben datenschutzrechtlichen Pflichtverstoßes nach § 23 Abs. 1 BetrVG.
Zur Begründung führte das Gericht aus, die Weiterleitung personenbezogener Daten an das private E-Mail-Postfach des Betriebsratsvorsitzenden sei rechtswidrig. Nach § 26 Abs. 1 BDSG dürfen Beschäftigtendaten nur dann verarbeitet werden, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Eine solche Erforderlichkeit lag hier nicht vor, da dem Betriebsratsvorsitzenden ein dienstlicher Computer für die Betriebsratstätigkeit zur Verfügung stand. Auch die Erlaubnistatbestände des Art. 6 Abs. 1 lit. a bis f DSGVO sah das LAG Hessen als nicht erfüllt an.
Zudem wurde ein Verstoß gegen das Transparenzgebot festgestellt: Die betroffenen Beschäftigten wurden nicht darüber informiert, dass ihre sensiblen Daten an ein privates E-Mail-Postfach weitergeleitet und dort verarbeitet wurden. Auch gegen den Grundsatz der Datenminimierung wurde verstoßen, da es keine Notwendigkeit gab, die Daten außerhalb der geschützten dienstlichen Infrastruktur zu verarbeiten.
Diese datenschutzrechtliche Pflichtverletzung stufte das LAG Hessen auch als grob im Sinne des § 23 Abs. 1 BetrVG ein, insbesondere da es sich um die Weiterleitung von Informationen zur Höhe der Vergütung jedes einzelnen Mitarbeiters handelte. Dass der Umgang mit diesen Daten allergrößte Sensibilität erfordert, war für den Betriebsratsvorsitzenden ohne weiteres erkennbar. Außerdem verstieß der Betriebsratsvorsitzende trotz vorangegangener Abmahnung weiterhin gegen die datenschutzrechtlichen Vorgaben. Das Gericht warf ihm vor, „unbelehrbar“ zu sein und bewusst gegen die Vorgaben gehandelt zu haben, die der Arbeitgeber zum Schutz der Beschäftigtendaten erlassen hatte.
Handlungsempfehlungen
Arbeitgeber haften hier im Zweifel selbst als datenschutzrechtliche Verantwortliche. Aus Compliance-Gesichtspunkten sollten daher von Anfang an klare technische und organisatorische Maßnahmen im Unternehmen ergriffen werden, um die Weiterleitung sensibler Daten an private E-Mail-Postfächer zu verhindern, etwa durch sichere IT-Systeme und das Verbot automatischer Weiterleitungen. Ein umfassendes Datenschutz-Konzept sowie regelmäßige Datenschutz-Schulungen schaffen klare Regeln für den Umgang mit personenbezogenen Daten. Im Sinne der vertrauensvollen Zusammenarbeit kann zudem angedacht werden, dass die Betriebsparteien gemeinschaftlich die Einhaltung des Datenschutzes bei der Datenverarbeitung durch den Betriebsrat in einer Regelungsabrede regeln. Zudem sollten Datenschutzverstöße eng mit dem internen oder externen Datenschutzbeauftragten abgestimmt werden.